Fastly エッジクラウドプラットフォーム

革新的なデジタルソリューション

プロトコルとは

プロトコルは、デバイス、システム、または当事者間で、データや情報が送信、受信、解釈される方法を規定する一連のルールまたは標準です。プロトコルは、異なるテクノロジーを使用している場合でも、コンピューターやネットワーク、または組織が効果的に通信できるようにする一種の「共通言語」と考えることができます。

コンピューティングおよびネットワーキングの分野では、デバイスがインターネットに接続する方法から、メールの送信方法、Webサイトが安全に読み込まれる方法まで、あらゆることがプロトコルによって定義されます。

プロトコルが重要な理由

プロトコルが重要な理由は主に3つあります。

プロセスを標準化。あらかじめ定められた「ルール」に従うことで、開発者とネットワークプロバイダーは、競合や非効率を回避できます。

システム間の通信を可能にする。プロトコルにより、異なるハードウェアやソフトウェアが同じ「言語」を話せるようになり、デバイスやシステム間の互換性が確保されます。

セキュリティと信頼性を確保。 多くのプロトコルには、暗号化やエラー検出などの組み込みのセキュリティ対策が含まれているため、データの保護に役立ちます。

プロトコルの種類

最も一般的なプロトコルには以下が含まれます。

ネットワークプロトコル

ネットワークプロトコルにより、デバイスはネットワーク(およびインターネット)を介して接続し、データを共有できます。

  • TCP/IP (Transmission Control Protocol/Internet Protocol) はインターネットの基盤であり、データ転送とアドレスの管理を担います。

  • HTTP/HTTPS (Hypertext Transfer Protocol) は、Web ページの読み込みに用いられ、HTTPS ではセキュアで暗号化された通信を提供します。

  • DNS (Domain Name System) は、ドメイン名 (fastly.com など) を、コンピュータが理解できる IP アドレスに変換します。

メールプロトコル

メールプロトコルは、Eメールの送受信に使用されます。SMTP (Simple Mail Transfer Protocol) はメッセージの送信に使用され、IMAP と POP3 はメッセージの取得に使用されます。

セキュリティプロトコル

セキュリティプロトコルは、データと通信の保護に役立ちます。

  • SSL/TLS (Secure Sockets Layer/TLS) は、インターネットトラフィックを暗号化します。

  •  IPSec (Internet Protocol Security) は、ネットワーク上でやり取りされるデータを保護します。

アプリケーションとデータのプロトコル

これらのプロトコルは、アプリケーション間で情報をやり取りする方法の標準を規定します。例として、ファイル共有のための FTP (File Transfer Protocol) や、IoT 通信のための MQTT が挙げられます。

プロトコルの仕組み

プロトコルは、通信を構造化された一連の手順に従って処理することで、データが正確かつ効率的に安全な方法で配信されるようにします。

  1. 接続の確立 : デバイスは互換性を確認し、基本的にどのように通信するかについて「合意」します。

  2. データの転送 : 情報は「パケット」(より小さな単位)に分割されて送信され、送信先で再構成されます。

  3. データのエラーをチェック : 送信されたデータにエラーがないか分析され、性質に応じて、プライバシー保護のために暗号化されます。

  4. 終了 : 通信が完了すると、接続が閉じられます。

プロトコルの脆弱性とは?

古いプロトコルの多くは、セキュリティが組み込まれていない状態で構築されました。そのため、悪用や攻撃を受けやすくなります。プロトコルの悪用を防ぐには、セキュリティ対策やツールを導入しておくことが重要です。

以下は、最も一般的なプロトコルの脆弱性の一部です。

  1. プロトコルの誤用 (データの窃取およびコマンド&コントロール)。脅威アクターは、侵害されたデバイスと通信するために、正規のプロトコルを使用することがよくあります。このような攻撃の検出は、非常に難しい場合があります。以下は一般的な2つの種類の攻撃です。

  • HTTP/HTTPS トンネリング。脅威アクターは、マルウェアを使用してコマンドサーバーと通信します。通常の Web トラフィックの中にマルウェアを隠しているため、ファイアウォールでのブロックが非常に難しくなります。。これをブロックしようとすると、正規のトラフィックに大きな支障が生じる可能性があります。

  • DNSトンネリング。脅威アクターは、DNS クエリやレスポンスの中にデータやコマンドを埋め込みます。DNS トラフィックはデフォルトで信頼されることが多いため、これによって標準的なセキュリティ監視を回避できます。

2. 安全でないプロトコルに対する中間者(MitM)攻撃。プロトコルに適切な認証または暗号化ポリシーが設定されていない場合、脅威アクターがトラフィックを傍受または改ざんする可能性があります。以下は一般的な2つの種類の攻撃です。

  • ARP スプーフィングとセッションハイジャック。脅威アクターは、ARP (Address Resolution Protocol) を悪用して、デバイスが自分を経由して通信を送信するように仕向けます。これにより、機密データの「盗聴」や改ざんが可能になります。

  • HTTP (非 HTTPS) の悪用。適切な暗号化が行われていない場合、攻撃者が Web トラフィックを傍受したり、悪意のあるスクリプトを挿入したりする可能性があります。  

3. プロトコルの悪用によるサービス拒否 (DoS) 攻撃。攻撃者はプロトコルに過負荷をかけたり改ざんしたりして、サービスを妨害する可能性があります。以下は一般的な2つの種類の攻撃です。

  • SYN フラッド (TCP の悪用)。攻撃者は不完全な TCP 接続リクエストを大量に送信し、標的のサーバーに過負荷をかけます。

  • DNS 増幅。 攻撃者はオープン DNS リゾルバを悪用し、小さなクエリを送信することで、大量のレスポンスを標的に送り、過負荷状態を引き起こします。

4.  プロトコルのダウングレードおよびスプーフィング攻撃。脅威アクターが、システムをだましてより脆弱なバージョンのプロトコルを使用させたり、正規プロトコルになりすましたりする可能性があります。以下は一般的な2つの種類の攻撃です。

  • SSL/TLS ダウングレード攻撃。攻撃者は、ブラウザとサーバーに古くて安全性の低い暗号化方式を使用させることで、通信の傍受を容易にします。

  • SMTP スプーフィング。脅威アクターは、認証が脆弱または設定ミスがあるメールプロトコルを標的とし、信頼できる送信元から送られたように見えるフィッシングメールを送信できるようにします。

プロトコル攻撃に対する効果的な防御策

プロトコル攻撃を防ぐために以下の対策を実行できます。

安全なプロトコルへのアップグレード。多くの攻撃では、古くて暗号化されていない、または旧式のプロトコルが悪用されます。最新の安全なバージョンに移行することで、リスクを大幅に軽減できます。セキュアなプロトコルでは、暗号化と認証が追加され、盗聴、改ざん、なりすましを防止します。以下の対策を実行してください。

  • すべての Web トラフィックで HTTP を HTTPS に置き換えます (TLS 暗号化を有効にします)。

  • 安全にファイル転送を行うために、FTP を SFTP または FTPS に置き換えます。

  • DNS ハイジャックを防ぐために、DNS over HTTPS (DoH) または DNSSEC を使用します。

  • レガシープロトコルを無効または更新します。

システムにパッチを適用して更新する。これは既知の脆弱性の解決に役立ちます。パッチが適用されていないシステムや設定ミスがあるシステムは悪用しやすいため、攻撃者によってよく狙われます。以下の対策を実行してください。

  • すべてのシステムとネットワーク機器をセキュリティパッチで最新の状態に保ちます。公開されているプロトコルとポートを定期的に監査し、使用されていないものは無効にします。

  • 強力な暗号化を適用し、SSL/TLS の脆弱なバージョンを無効にして設定を強化します。 

ネットワークのセグメンテーションとゼロトラストの実装。セグメンテーションは、プロトコルの悪用が成功した場合に、その影響範囲を制限するのに役立ちます。ゼロトラストを採用し、ネットワーク内であっても、すべてのユーザーとデバイスが常に検証されるようにします。ファイアウォールとマイクロセグメンテーションにより、どのプロトコルやサービスにアクセスでき、誰がそれらにアクセスできるのかをコントロールしやすくなります。

不審なプロトコルトラフィックを監視。高度な検出ツールは、通常のトラフィック内に潜む偽装された攻撃を特定するのに役立ちます。以下の対策を実行してください。

  • 侵入検知・防止システム (IDS/IPS) をデプロイしてトラフィックの異常を監視します。

  • DPI (Deep Packet Inspection) を使用して、DNS や HTTP などのプロトコルに潜む悪意のあるペイロードを検出します。

  • 異常な DNS クエリ、HTTP リクエスト、または大量の送信トラフィックをログに記録して分析します。これはデータ流出の兆候です。

プロトコルを介したサービス拒否 (DoS) 攻撃への対策攻撃者は、DNS や TCP などのプロトコルを悪用してシステムに大量のトラフィックを送り込むことができます。以下の対策を実行してください。

  • ファイアウォールまたはアプリケーションレイヤーで、レート制限とトラフィックのフィルタリングを行います。

  • DDoS 対策ソリューションをデプロイします。

  • 異常なトラフィックパターンに対応できるようにサーバーを設定します。

社員のトレーニングとエンドポイントの保護プロトコルは、ソーシャルエンジニアリングやエンドポイントの侵害を通じて悪用されることもあります。以下の対策を実行してください。

  • メールプロトコルを悪用するフィッシング攻撃を認識できるように社内トレーニングを実施します。

  • EDR (Endpoint Detection and Response) を使用して、隠れたプロトコルチャネルを利用するマルウェアを検出します。

  • 認証情報を悪用した攻撃を制限するため、多要素認証 (MFA) を強制します。

Fastly のソリューションが役立つ理由

DDoS 攻撃に対する包括的な保護の維持には、コスト、複雑さ、誤検知、進化する脅威、リソース負荷において大きな困難が伴います。Fastly のクラウドベースの DDoS 対策ソリューションによって、これらの懸念事項すべてを直接解決できます。

Fastly の DDoS Protection には以下の主なメリットがあります。

  • コスト削減 : Fastly の CDN サービスに含まれる DDoS Protection は、費用対効果に優れた DDoS 対策を提供します。

  • 柔軟な料金プラン : ニーズに合ったプランを選択でき、超過分も無制限に保護されます。セキュリティ、CDN、エッジクラウドサービスを単一のベンダーに集約することは、よりコスト効率の高い選択肢を提供します。

  • 複雑さを簡素化 : Fastly のソリューションでは、複雑な設定や手動での調整は不要です。ネットワークはレイヤー3/4攻撃を自動的に吸収し、次世代 WAF がレイヤー7の脅威にシームレスに対処します。

  • 誤検知を削減 : Fastly の高度な SmartParse 検出エンジンがリクエストを正確に分類し、正規ユーザーをブロックする可能性がある誤検知を最小限に抑えます。

  • 継続的な進化 : Fastly は確かなインテリジェンスに基づいて検出能力と緩和機能を強化し続け、進化する世界的な攻撃トレンドに先手を打てるようにします。

  • 高いリソース効率 : 336 Tbps の容量を誇る Fastly の大規模なネットワークは、パフォーマンスを低下させることなく、極度にスケールの大きい攻撃さえも吸収できる能力を備えています。エッジで自動的に攻撃を緩和し、オリジンへの負荷も軽減します。

Fastly の包括的な DDoS Protection により、セキュリティとパフォーマンスの強化を実現できます。Fastly の DDoS Protection ソリューションについて詳しくはこちらをご覧ください。

Fastly の DDoS Protection に関する詳細

詳細情報

始める準備はできましたか?

ぜひご連絡ください